J'ai un ipcop avec 3 interfaces (green, orange et red). Chacune des interfaces est connectée sur un VLAN différent.
Sur le VLAN correspondant au réseau ORANGE, j'ai un serveur DHCP (à base d'OpenBSD).
Je veux que ce serveur distribue des @IP sur le VLAN correspondant au réseau RED.
Pour ce faire, j'ai démarré DHCRELAY sur le FW IPCOP pour qu'il écoute sur l'interface connectée sur le réseau RED.
Le problème est que je ne peux pas faire de forwarding de port pour UDP 67 & 68 (réservé par IPCOP).
Quelqu'un sait-il comment je peux y arriver ? avec des règles IPTABLES à la main j'imagine ? mais lesquelles ?
merci.
DHCP Server dans DMZ & DHCP Clients sur réseau RED
Modérateur: modos Ixus
8 messages
• Page 1 sur 1
DHCP Server dans DMZ & DHCP Clients sur réseau RED
par b3n » 28 Mars 2004 20:07
- b3n
- Matelot
- Messages: 9
- Inscrit le: 28 Mars 2004 19:58
par b3n » 05 Avr 2004 14:24
merci pour l'info.
donc, j'ai modifié le fichier portfw.cgi, donc j'arrive bien à définir des forward avec les ports 67 & 68 mais j'ai un nouveau problème... :/
Description de la config :
FW ipcop avec 3 cartes :
- eth2 [172.168.0.254/16] : RED
- eth1 [10.0.0.254/8] : ORANGE
- eth0 [192.168.0.254/24] : GREEN
RED, ORANGE et GREEN sont segmentés par 3 VLAN différents.
1 serveur DHCP dans la zone ORANGE [10.0.0.1/8]
J'ai un poste client DHCP en zone RED.
Sur le FW ipcop, j'ai lancé : dhcrelay -i eth2 10.0.0.1
Le problème, c'est que mon client DHCP n'arrive jamais à obtenir une adresse.
- Les règles ne sont pas définies correctement sur le FW ?
- Le relai DHCP en fonctionne pas bien ?
(1) Services -> Transfert de ports
PROTOCOLE SOURCE DESTINATION
TCP Default IP >> 255.255.255.255
68 (BootPC) >> 67 (BootPS)
UDP Default IP >> 255.255.255.255
68 (BootPC) >> 67 (BootPS)
(2) iptables -L
Chain PORTFWACCESS (1 references)
TARGET PROT OPT SOURCE DESTINATION
ACCEPT TCP --- anywhere 255.255.255.255 tcp dpt:bootps
ACCEPT UDP --- anywhere 255.255.255.255 udp dpt:bootps
(3) tcpdump -i eth2
00:54:44.859726 0.0.0.0.bootpc > 255.255.255.255.bootps : xid:0x49a8db1c secs:10 [|bootp]
(4) tcpdump -i eth1
rien
(5) Logs pare-feu
CHAINE INTERFACE PROTOCOLE SOURCE PORT SOURCE DESTINATION PORT DE DESTINATION
INPUT eth2 UDP 0.0.0.0 68(bootpc) 255.255.255.255 67(bootps)
quelqu'un aurait une petite idée ?
donc, j'ai modifié le fichier portfw.cgi, donc j'arrive bien à définir des forward avec les ports 67 & 68 mais j'ai un nouveau problème... :/
Description de la config :
FW ipcop avec 3 cartes :
- eth2 [172.168.0.254/16] : RED
- eth1 [10.0.0.254/8] : ORANGE
- eth0 [192.168.0.254/24] : GREEN
RED, ORANGE et GREEN sont segmentés par 3 VLAN différents.
1 serveur DHCP dans la zone ORANGE [10.0.0.1/8]
J'ai un poste client DHCP en zone RED.
Sur le FW ipcop, j'ai lancé : dhcrelay -i eth2 10.0.0.1
Le problème, c'est que mon client DHCP n'arrive jamais à obtenir une adresse.
- Les règles ne sont pas définies correctement sur le FW ?
- Le relai DHCP en fonctionne pas bien ?
(1) Services -> Transfert de ports
PROTOCOLE SOURCE DESTINATION
TCP Default IP >> 255.255.255.255
68 (BootPC) >> 67 (BootPS)
UDP Default IP >> 255.255.255.255
68 (BootPC) >> 67 (BootPS)
(2) iptables -L
Chain PORTFWACCESS (1 references)
TARGET PROT OPT SOURCE DESTINATION
ACCEPT TCP --- anywhere 255.255.255.255 tcp dpt:bootps
ACCEPT UDP --- anywhere 255.255.255.255 udp dpt:bootps
(3) tcpdump -i eth2
00:54:44.859726 0.0.0.0.bootpc > 255.255.255.255.bootps : xid:0x49a8db1c secs:10 [|bootp]
(4) tcpdump -i eth1
rien
(5) Logs pare-feu
CHAINE INTERFACE PROTOCOLE SOURCE PORT SOURCE DESTINATION PORT DE DESTINATION
INPUT eth2 UDP 0.0.0.0 68(bootpc) 255.255.255.255 67(bootps)
quelqu'un aurait une petite idée ?
- b3n
- Matelot
- Messages: 9
- Inscrit le: 28 Mars 2004 19:58
par Gesp » 05 Avr 2004 16:26
Les règles du firewall sont à priori correctes pour une utilisation standard dans laquelle il n'est pas prévu d'accepter des requêtes DHCP venant de l'interface RED que quand cette interface est un client DHCP.
Regarde les règles dans rc.updatered (et aussi dans rc.red dialdhcp en V1.4)
Regarde les règles dans rc.updatered (et aussi dans rc.red dialdhcp en V1.4)
-
Gesp - Amiral
- Messages: 4481
- Inscrit le: 29 Déc 2002 01:00
par Franck78 » 05 Avr 2004 16:48
Hello,
Tu es sur de dhcprelay ?
La tu lui dis de relayer RED(eth2). Oui mais ou
J'aurais plutot vu une syntaxe dhcprelay -i ORANGE,
qui pourrait se traduire par
relayer ce qui ne vient pas de ORANGE vers ORANGE.
Et si c'est dhcprelay qui bosse, il faut lui ouvrir
un "access externe". Pas un forward de port.
Puis en dernier autoriser 66/67 et passer en ORANGE.
Bye
Tu es sur de dhcprelay ?
La tu lui dis de relayer RED(eth2). Oui mais ou
J'aurais plutot vu une syntaxe dhcprelay -i ORANGE,
qui pourrait se traduire par
relayer ce qui ne vient pas de ORANGE vers ORANGE.
Et si c'est dhcprelay qui bosse, il faut lui ouvrir
un "access externe". Pas un forward de port.
Puis en dernier autoriser 66/67 et passer en ORANGE.
Bye
-
Franck78 - Amiral
- Messages: 5625
- Inscrit le: 20 Fév 2004 01:00
- Localisation: Paris
par b3n » 05 Avr 2004 17:19
effectivement, sur le coup du DHCRELAY, je me suis planté.
je viens de reregarder le manpage et il faut mettre l'interface sur laquelle sont reçues les demandes d'attribution d'IP du client mais également l'interface sur laquelle est connectée le serveur DHCP
--> DHCRELAY -i eth2 eth1 10.0.0.1
Sinon, pour l'utilisation des accès externes et du forwarding de ports, tu peux donner un peu plus de précisions ? je vois pas trop là...
merci.
je viens de reregarder le manpage et il faut mettre l'interface sur laquelle sont reçues les demandes d'attribution d'IP du client mais également l'interface sur laquelle est connectée le serveur DHCP
--> DHCRELAY -i eth2 eth1 10.0.0.1
Sinon, pour l'utilisation des accès externes et du forwarding de ports, tu peux donner un peu plus de précisions ? je vois pas trop là...
merci.
- b3n
- Matelot
- Messages: 9
- Inscrit le: 28 Mars 2004 19:58
par Franck78 » 08 Avr 2004 02:28
Franck78 a écrit:Et si c'est dhcprelay qui bosse, il faut lui ouvrir
un "access externe". Pas un forward de port.
Puis en dernier autoriser 66/67 et passer en ORANGE.
Bye
dhcrelay tourne sur ton ipcop, ok?
il faut donc que les requètes dhcp lui parviennent pour qu'il les traite.
en standart rien ne rentre 'comme ça' dans les programmes de ipcop.
il y a le fw qui bloque.
Donc on autorise un accès externe(qui vient pas de l'intérieur d'ipcop)
ca peut être red, orange, green (externe).
après ca il faut bien que dhcprelay relaie vers l'extérieur la requéte!
deux cas: c'est ouvert, c'est fermé.
je crois que de interne vers externe(red green,orange) tout passe par défaut. Faut regarder le script iptable mais j'ai souvenir d'un default policy accept pour OUTPUT.
Donc peut être pas besoin d'ouvrir entre Ipcop(interne) et Orange !
bye
-
Franck78 - Amiral
- Messages: 5625
- Inscrit le: 20 Fév 2004 01:00
- Localisation: Paris
par b3n » 08 Avr 2004 15:43
ouais mais en fait, je ne veux pas que les postes qui sont dans le zone GREEN obtiennent des IP via le serveur DHCP de la DMZ. J'ai un autre serveur DHCP dans la zone GREEN qui est dédié pour çà avec des IP sur au autre sous-réseau.
C'est pour çà que je pensais faire du forward de port.
Je vois toujours pas pourquoi le forward de port ne peut pas fonctionner. T'es sûr que la seule solution c'est l'ACCES EXTERNE ? si Oui, est ce que je peux restreindre cet accès externe uniquement à la zone RED ?
thx.
C'est pour çà que je pensais faire du forward de port.
Je vois toujours pas pourquoi le forward de port ne peut pas fonctionner. T'es sûr que la seule solution c'est l'ACCES EXTERNE ? si Oui, est ce que je peux restreindre cet accès externe uniquement à la zone RED ?
thx.
- b3n
- Matelot
- Messages: 9
- Inscrit le: 28 Mars 2004 19:58
8 messages
• Page 1 sur 1
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité